Последнее время новая бот-сеть активно используется для проксирования трафика, ассоциируемого с GandCrab.
Исследователи из Proofpoint обнаружили новую инфраструктуру, обеспечивающую динамическую перерегистрацию IP-адресов (fast flux) для сокрытия вредоносной активности.
Эксперты наблюдают SandiFlux, как они называют это новообразование, с декабря. По их словам, последнее время данная бот-сеть активно используется для проксирования трафика, ассоциируемого с вымогательским ПО GandCrab.
Аналогичные услуги предлагают операторы Dark Cloud, он же Fluxxy, — многоцелевого ботнета, за деятельностью которого в Proofpoint следят с 2014 года. Эта инфраструктура позволяет быстро и автоматическом режиме менять IP-адреса, домены и даже DNS-серверы, чтобы продлить жизнь мошеннических сайтов, вредоносных площадок и C&C-серверов.
Dark Cloud широко используют кардеры, операторы эксплойт-паков, авторы malvertising-кампаний, спамеры, фишеры, ботоводы и операторы вредоносных программ — например, даунлоудера Furtim, он же SFG.
Ныне, согласно Proofpoint, некоторые из этих злоумышленников начали откочевывать на SandiFlux. Так, в феврале новую возможность опробовал распространитель zloader — автор вредоносных кампаний, которого исследователи условно называют TA547. В ноябре этот злоумышленник, согласно наблюдениям, использовал инфраструктуру Dark Cloud.
В марте к новым услугам fast flux обратился спамер TA505, который до недавнего времени продвигал сети нелицензированных интернет-аптек с помощью Dark Cloud, а теперь подрядился распространять GandCrab.
Анализ данных о географическом местоположении новоявленного fast flux ботнета показал, что большинство скомпрометированных хостов находятся в Румынии и Болгарии (46,4 и 21,3% соответственно), остальные — в других странах Западной Европы, в Африке, южной Азии и на Ближнем Востоке.
Узлы Dark Cloud располагаются на Украине (77,4%) и в России (14,5%), и ни одного совпадения с SandiFlux обнаружить не удалось.
Вместе с тем исследователи не берутся утверждать, что эти инфраструктуры не связаны. Напротив, в Proofpoint предполагают, что оператор у Dark Cloud и SandiFlux один — он мог попросту разделить свои активы, чтобы облегчить эксплуатацию.